CN105282169B - 基于SDN控制器阈值的DDoS攻击预警方法及其系统 - Google Patents
基于SDN控制器阈值的DDoS攻击预警方法及其系统 Download PDFInfo
- Publication number
- CN105282169B CN105282169B CN201510745919.8A CN201510745919A CN105282169B CN 105282169 B CN105282169 B CN 105282169B CN 201510745919 A CN201510745919 A CN 201510745919A CN 105282169 B CN105282169 B CN 105282169B
- Authority
- CN
- China
- Prior art keywords
- address
- early warning
- sent
- data packet
- sdn
- Prior art date
- Legal status (The legal status is an assumption and is not a legal conclusion. Google has not performed a legal analysis and makes no representation as to the accuracy of the status listed.)
- Expired - Fee Related
Links
Classifications
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1441—Countermeasures against malicious traffic
- H04L63/1458—Denial of Service
-
- H—ELECTRICITY
- H04—ELECTRIC COMMUNICATION TECHNIQUE
- H04L—TRANSMISSION OF DIGITAL INFORMATION, e.g. TELEGRAPHIC COMMUNICATION
- H04L63/00—Network architectures or network communication protocols for network security
- H04L63/14—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic
- H04L63/1408—Network architectures or network communication protocols for network security for detecting or protecting against malicious traffic by monitoring network traffic
- H04L63/1416—Event detection, e.g. attack signature detection
Landscapes
- Engineering & Computer Science (AREA)
- Computer Security & Cryptography (AREA)
- Computer Hardware Design (AREA)
- Computing Systems (AREA)
- General Engineering & Computer Science (AREA)
- Computer Networks & Wireless Communication (AREA)
- Signal Processing (AREA)
- Data Exchanges In Wide-Area Networks (AREA)
Abstract
本发明公开了一种基于SDN控制器阈值的DDoS攻击预警方法及其系统,其中,该方法包括:将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;SDN控制器接收到威胁预警消息后,逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。
Description
技术领域
本发明属于通信领域,尤其涉及一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。
背景技术
随着互联网科技的飞速发展,人类已步入信息时代,信息技术极大地推进了社会变革以及人类生活方式转变的速度,促进了人类信息的高效共享。然而,现有互联网基础架构相对僵化,其控制逻辑和数据层面垂直耦合的特征,导致高效的网络或服务管理成为现有互联网的一大难题。随着未来网络技术的不断进步,软件定义网络(Software-DefinedNetwork,SDN)技术成为解决上述难题的主流选择方案。SDN网络技术通过将网络的数据平面和控制层面解耦合,即通过将网络的控制逻辑从路由器或交换机中剥离出来,达到对网络或服务高效管理和动态配置的目的,极大地推动了信息网络技术的进展,但其仍不能完全避免遭受分布式拒绝服务攻击(Distributed Denial of Service,DDoS)的侵害。
DDoS攻击作为主流的网络攻击类型,危害巨大。尽管大量投资进入了互联网系统和服务领域,无数机构每年仍经常因为DDoS攻击而面临灾难性的停运事件。例如,2013年8月25日,我国顶级域名CN的解析服务器遭受DDoS攻击,造成大量以CN为后缀的网站完全无法访问,经济损失和社会影响难以估计。
DDoS攻击通常针对某一或几个特定目标,由僵尸网络发起大量的恶意流量导致目标资源无法被正常访问,并通过伪造流量源地址信息,进行攻击危害的同时,利于躲避追查。基于源地址伪造机制的DDoS攻击中,数量及其巨大的恶意数据包所携带的源地址信息均为伪造的,加之现有网络架构中路由器只按照目的地址对数据包进行转发,而不过问数据包的来源,使得上述DDoS攻击难以被及时预警。除非被攻击目标出现服务中断或网络链路瘫痪等重大停运事件,上述攻击才可被预警,但通常为时已晚。
DDoS攻击危害的严重性已被工业界和学术界广泛共识,可严重制约SDN等未来网络技术的发展、推广、部署和应用。因此,有必要研究SDN网络中DDoS攻击的预警技术,提高未来网络架构的安全性,推动信息安全技术的发展和未来网络技术的进步。
现有的DDoS威胁过滤和链路重配的SDN结构及工作方法为:通过在传统SDN网络中添加一定数量的IDS决策服务器,通过上述IDS决策服务器对数据包链路层、网际层、传输层、应用层标志位进行异常检测,并制定出相应的异常处理策略,并通告SDN控制器,使其重新规划路由路径,达到减轻DDoS危害的目的。
DDoS威胁过滤和链路重配的SDN结构及工作方法专门引入了IDS决策服务器,以达到减轻SDN网络中DDoS攻击危害的效果。上述IDS决策服务器及其与SDN控制器协议交互机制的引入,增加了SDN网络配置和协议交互的负担,增大了SDN网络应用的复杂度,在提升安全性的同时付出了较沉重的代价。
发明内容
为了解决现有技术的缺点,本发明提供一种基于SDN控制器阈值的DDoS攻击预警方法及其系统。该方法未引入任何额外的网络中间件设备,完全利用SDN网络中固有的SDN控制器与交换机的配合以预警DDoS攻击,在提升SDN网络安全性的同时,未引入任何网络配置负担,亦未导致网络复杂度的提高。
为实现上述目的,本发明采用以下技术方案:
一种基于SDN控制器阈值的DDoS攻击预警方法,包括:
将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器接收到威胁预警消息后,逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。
所述查找被攻击的地址的过程为:
目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则所述威胁预警消息中目的地址正遭受DDoS攻击。
所述配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
一种基于SDN控制器阈值的DDoS攻击预警方法的预警系统,包括:
数据包目的地址统计模块,其用于将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
SDN交换机,其用于将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器,其用于接收到威胁预警消息;
数据包源地址可达性统计模块,其用于逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机,还用于按照接收到的威胁预警应答消息中的安全策略进行转发相应的数据包。
所述数据包目的地址统计模块中查找被攻击的地址的过程为:
目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
所述数据包源地址可达性统计模块中配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
本发明的有益效果为:
(1)本发明提出一种基于SDN控制器阈值的DDoS攻击预警方法未引入任何额外的网络中间件设备,完全利用SDN网络中固有的SDN控制器与交换机的配合以预警DDoS攻击,在提升SDN网络安全性的同时,未引入任何网络配置负担,亦未导致网络复杂度的提高。
(2)本发明提出的基于SDN控制器阈值的DDoS攻击预警方法可通过软件升级的方式集成到SDN网络中,无需购置额外的硬件设备,降低SDN安全性提升带来的设备选购费用。
附图说明
图1是本发明的基于SDN控制器阈值的DDoS攻击预警系统的功能模块结构示意图;
图2是本发明的基于SDN控制器阈值的DDoS攻击预警方法的流程图。
具体实施方式
下面结合附图与实施例对本发明做进一步说明:
由于分布式拒绝服务攻击(Distributed Denial of Service,DDoS)已成为威胁互联网安全的众多网络恶意攻击中的焦点,被称为网络领域的“破坏之王”。基于OpenFlow协议的软件定义网络(Software-Defined Network,SDN)技术作为未来互联网的主流技术之一被广泛认可,其中SDN控制器在上述网络架构中发挥着策略控制等核心的作用,但尚未出现完全基于SDN控制器统计信息进行DDoS攻击预防和对抗的研究成果文献。本发明的该方法采用了基于SDN控制器进行数据包总量统计分析进而识别威胁的DDoS攻击预警方法,充分利用未来网络SDN架构的内在特点,提高网络安全性。
此外,现有主流DDoS攻击的数据包多采用伪造的源地址,使得攻击源头追溯以及攻击的预警十分困难。本发明提出的方法利用DDoS攻击中数据包携带伪造源地址的特征,基于SDN控制器收到的查询无效地址的数据包的分布规律,判别DDoS攻击的存在性。
下面采用图2进行说明本发明的基于SDN控制器阈值的DDoS攻击预警方法,从图2可看出,其中的标号1、2、3和4,指的是数据流的先后顺序标号。
图2中,SDN控制器与SDN交换机两者之间形成控制通路,由用户或攻击者通过SDN交换机达到最终用户地址的链路形成数据通路;而且当该网络被DDoS攻击时,SDN交换机的输出端还与网络流量清洗设备相连通。
本发明的基于SDN控制器阈值的DDoS攻击预警方法,包括:
将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器接收到威胁预警消息后,逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。
进一步地,查找被攻击的地址的过程为:
目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则所述威胁预警消息中目的地址正遭受DDoS攻击。
进一步地,配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为“限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备”;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为“发往被攻击目的地址的流量带宽不限制”。
如图1所示,基于SDN控制器阈值的DDoS攻击预警方法的预警系统,包括:
数据包目的地址统计模块,其用于将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
SDN交换机,其用于将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器,其用于接收到威胁预警消息;
数据包源地址可达性统计模块,其用于逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机,还用于按照接收到的威胁预警应答消息中的安全策略进行转发相应的数据包。
进一步地,数据包目的地址统计模块中查找被攻击的地址的过程为:
目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址。
进一步地,威胁预警应答消息至少包含针对被攻击地址的安全策略。
进一步地,数据包源地址可达性统计模块中配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为“限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备”;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为“发往被攻击目的地址的流量带宽不限制”。
上述虽然结合附图对本发明的具体实施方式进行了描述,但并非对本发明保护范围的限制,所属领域技术人员应该明白,在本发明的技术方案的基础上,本领域技术人员不需要付出创造性劳动即可做出的各种修改或变形仍在本发明的保护范围以内。
Claims (7)
1.一种基于SDN控制器阈值的DDoS攻击预警方法,其特征在于,包括:
将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
所述查找被攻击的地址的过程为:目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址;
SDN交换机将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器接收到威胁预警消息后,逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机按照接收到的威胁预警应答消息进行转发相应的数据包。
2.如权利要求1所述的一种基于SDN控制器阈值的DDoS攻击预警方法,其特征在于,所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
3.如权利要求1所述的一种基于SDN控制器阈值的DDoS攻击预警方法,其特征在于,威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则所述威胁预警消息中目的地址正遭受DDoS攻击。
4.如权利要求3所述的一种基于SDN控制器阈值的DDoS攻击预警方法,其特征在于,所述配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
5.一种基于SDN控制器阈值的DDoS攻击预警方法的预警系统,其特征在于,包括:
数据包目的地址统计模块,其用于将SDN交换机接收到的数据包按照其目的地址进行统计一定时间段内的访问总量,并与目的地址访问数据包总数量阈值进行对比,查找出被攻击的地址以及获取发往被攻击地址的数据包源地址信息;
所述数据包目的地址统计模块中查找被攻击的地址的过程为:目的地址的在一定时间段内的统计访问总量与访问数据包总数量阈值进行对比:若未超过上述阈值,则数据包按照标准SDN网络处理流程正常转发;若超过上述阈值,则定位该目的地址为被攻击地址;
SDN交换机,其用于将发往被攻击地址的数据包源地址信息进行随机抽样,匹配被攻击地址和抽样后的源地址并配置为威胁预警消息,发往相应的SDN控制器;
SDN控制器,其用于接收到威胁预警消息;
数据包源地址可达性统计模块,其用于逐一检验威胁预警消息中目的地址对应源地址的可达性比例,并与源地址可达性比例阈值相比较,进行配置发往SDN交换机的威胁预警应答消息;
SDN交换机,还用于按照接收到的威胁预警应答消息中的安全策略进行转发相应的数据包。
6.如权利要求5所述的预警系统,其特征在于,所述威胁预警应答消息至少包含针对被攻击地址的安全策略。
7.如权利要求5所述的预警系统,其特征在于,所述数据包源地址可达性统计模块中配置发往SDN交换机的威胁预警应答消息的过程为:
威胁预警消息中目的地址对应源地址的可达性比例与源地址可达性比例阈值相比较,若前者低于后者,则发往SDN交换机的威胁预警应答消息携带的安全策略为:限制发往被攻击目的地址的流量带宽,并镜像流量到网络流量清洗设备;
若超过上述阈值,则发往SDN交换机的威胁预警应答消息携带的安全策略为:发往被攻击目的地址的流量带宽不限制。
Priority Applications (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510745919.8A CN105282169B (zh) | 2015-11-04 | 2015-11-04 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
Applications Claiming Priority (1)
Application Number | Priority Date | Filing Date | Title |
---|---|---|---|
CN201510745919.8A CN105282169B (zh) | 2015-11-04 | 2015-11-04 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
Publications (2)
Publication Number | Publication Date |
---|---|
CN105282169A CN105282169A (zh) | 2016-01-27 |
CN105282169B true CN105282169B (zh) | 2018-08-24 |
Family
ID=55150495
Family Applications (1)
Application Number | Title | Priority Date | Filing Date |
---|---|---|---|
CN201510745919.8A Expired - Fee Related CN105282169B (zh) | 2015-11-04 | 2015-11-04 | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 |
Country Status (1)
Country | Link |
---|---|
CN (1) | CN105282169B (zh) |
Families Citing this family (13)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
CN107231662B (zh) | 2016-03-25 | 2020-11-10 | 华为技术有限公司 | 一种sdn网络中多流传输的方法和设备 |
CN105978890B (zh) * | 2016-06-23 | 2019-03-29 | 贵州白山云科技股份有限公司 | Syn攻击域名定位方法和装置 |
CN107623663B (zh) * | 2016-07-15 | 2020-12-15 | 阿里巴巴集团控股有限公司 | 处理网络流量的方法及装置 |
CN106131031B (zh) * | 2016-07-19 | 2020-03-10 | 北京兰云科技有限公司 | 一种DDoS流量清洗处理的方法及装置 |
CN106302450B (zh) * | 2016-08-15 | 2019-08-30 | 广州华多网络科技有限公司 | 一种基于ddos攻击中恶意地址的检测方法及装置 |
JP6602799B2 (ja) * | 2017-01-26 | 2019-11-06 | 日本電信電話株式会社 | セキュリティ監視サーバ、セキュリティ監視方法、プログラム |
CN106921666B (zh) * | 2017-03-06 | 2020-10-02 | 中山大学 | 一种基于协同理论的DDoS攻击防御系统及方法 |
CN107070895B (zh) * | 2017-03-17 | 2020-05-22 | 中国科学院信息工程研究所 | 一种基于sdn的数据流溯源方法 |
CN107835185B (zh) * | 2017-11-21 | 2020-10-02 | 广州大学 | 一种基于ARM TrustZone的移动终端安全服务方法及装置 |
CN107819633B (zh) * | 2017-11-30 | 2021-05-28 | 国网河南省电力公司商丘供电公司 | 一种快速发现并处理网络故障的方法 |
CN110247893B (zh) * | 2019-05-10 | 2021-07-13 | 中国联合网络通信集团有限公司 | 一种数据传输方法和sdn控制器 |
CN111147516B (zh) * | 2019-12-31 | 2020-11-24 | 中南民族大学 | 基于sdn的安全设备动态互联与智能选路决策系统及方法 |
CN111935108B (zh) * | 2020-07-24 | 2023-02-28 | 杭州安恒信息技术股份有限公司 | 云数据安全访问控制方法、装置、电子装置及存储介质 |
Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772349B1 (en) * | 2000-05-03 | 2004-08-03 | 3Com Corporation | Detection of an attack such as a pre-attack on a computer network |
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
CN104660582A (zh) * | 2014-12-17 | 2015-05-27 | 南京晓庄学院 | DDoS识别、防护和路径优化的软件定义的网络架构 |
-
2015
- 2015-11-04 CN CN201510745919.8A patent/CN105282169B/zh not_active Expired - Fee Related
Patent Citations (4)
Publication number | Priority date | Publication date | Assignee | Title |
---|---|---|---|---|
US6772349B1 (en) * | 2000-05-03 | 2004-08-03 | 3Com Corporation | Detection of an attack such as a pre-attack on a computer network |
CN103561011A (zh) * | 2013-10-28 | 2014-02-05 | 中国科学院信息工程研究所 | 一种SDN控制器盲DDoS攻击防护方法及系统 |
CN104660582A (zh) * | 2014-12-17 | 2015-05-27 | 南京晓庄学院 | DDoS识别、防护和路径优化的软件定义的网络架构 |
CN104539625A (zh) * | 2015-01-09 | 2015-04-22 | 江苏理工学院 | 一种基于软件定义的网络安全防御系统及其工作方法 |
Also Published As
Publication number | Publication date |
---|---|
CN105282169A (zh) | 2016-01-27 |
Similar Documents
Publication | Publication Date | Title |
---|---|---|
CN105282169B (zh) | 基于SDN控制器阈值的DDoS攻击预警方法及其系统 | |
CN103561004A (zh) | 基于蜜网的协同式主动防御系统 | |
CN106921666A (zh) | 一种基于协同理论的DDoS攻击防御系统及方法 | |
US9166990B2 (en) | Distributed denial-of-service signature transmission | |
CN101505219B (zh) | 一种防御拒绝服务攻击的方法和防护装置 | |
CN109922048B (zh) | 一种串行分散隐藏式威胁入侵攻击检测方法和系统 | |
CN106357685A (zh) | 一种防御分布式拒绝服务攻击的方法及装置 | |
KR100684602B1 (ko) | 세션 상태전이를 이용한 시나리오 기반 침입대응 시스템 및그 방법 | |
JP2007208861A (ja) | 不正アクセス監視装置及びパケット中継装置 | |
Foroushani et al. | TDFA: traceback-based defense against DDoS flooding attacks | |
CN104135474A (zh) | 基于主机出入度的网络异常行为检测方法 | |
CN108965210A (zh) | 基于场景式攻防模拟的安全试验平台 | |
WO2016048962A1 (en) | Collaborative deep packet inspection systems and methods | |
CN106027497A (zh) | 面向SDN的基于OpenFlow-DPM的DDoS溯源与源端过滤方法 | |
CN104539600A (zh) | 一种支持过滤iec104协议的工控防火墙实现方法 | |
KR101045330B1 (ko) | 네트워크 기반의 http 봇넷 탐지 방법 | |
KR101209214B1 (ko) | 세션 상태 추적을 통한 서비스 거부 공격 방어 장치 및 방법 | |
CN1326365C (zh) | 使用基于硬件的模式匹配的蠕虫阻击系统和方法 | |
Shah et al. | Impact of DDOS attacks on cloud environment | |
CN110493253A (zh) | 一种基于树莓派设计的家用路由器的僵尸网络分析方法 | |
CN101453363A (zh) | 网络入侵检测系统 | |
CN101714958B (zh) | 多功能综合安全网关系统 | |
CN102801634B (zh) | 一种三位一体网络流量智能识别方法 | |
Luo et al. | DDOS Defense Strategy in Software Definition Networks | |
Rohrbeck et al. | Secure access node: An FPGA-based security architecture for access networks |
Legal Events
Date | Code | Title | Description |
---|---|---|---|
C06 | Publication | ||
PB01 | Publication | ||
C10 | Entry into substantive examination | ||
SE01 | Entry into force of request for substantive examination | ||
GR01 | Patent grant | ||
GR01 | Patent grant | ||
CF01 | Termination of patent right due to non-payment of annual fee | ||
CF01 | Termination of patent right due to non-payment of annual fee |
Granted publication date: 20180824 Termination date: 20201104 |